もうグレーゾーンはない！ 知らなきゃ恥をかく改正個人情報保護法

4
知らないと恥をかく
改正個人情報保護法

個人情報の取り扱い体制を再点検する
Chapter 1 準備　リードビジネスの波に乗り遅れるな！

リードビジネスを行う事業者は、個人情報保護法の対象となります。2017年に施行された改正法の内容をリードと接する社員全員で共有するとともに、違法となる点がないか確認してください。

個人情報を利用するには事前の許諾が必要

氏名やメールアドレスも、Webサイトの行動履歴などの行動データも、これらはすべて個人情報の一種です。リードビジネスを行う事業者はすべて「個人情報の保護に関する法律」（個人情報保護法）で定める「個人情報取扱事業者」にあたります。

マーケターは同法を遵守するとともに、営業部門などリードビジネスに関わる社内の担当者に知識を共有してください。 リードの個人情報は、取得する情報の種類と利用目的、共有範囲を開示して本人の同意・許諾を得たうえでないと、マーケティング活動に利用できません。要点は以下の通りです。

• プライバシーポリシー^〈※1〉、または個人情報保護方針で取得する情報や利用目的を明示する
• 明確な操作を伴う「オプトイン」^〈※2〉で事前に許諾を得る
• 自社以外と共有する場合はその対象と目的もプライバシーポリシーに明示する

※1　プライバシーポリシー　Webサイトにおいて、個人情報の収集方法や使用方針を定めた方針のこと。「個人情報保護方針」と呼ぶこともある。

※2　オプトイン　個人情報の利用などにあたり、明確に事前の承諾を得ること。事前の承諾は得ないが、事後に停止する手段を提供するものは「オプトアウト」と呼ぶ。

具体的な説明と「オプトイン」による承諾が重要 プライバシーポリシーでは、取得する個人情報の種類や利用目的を具体的に説明することが重要です。詳しくは次節で解説します。

事前の許諾は、Webサイトであれば「同意します」ボタンをクリックするなど、明確な操作を伴う「オプトイン」形式で得ます〔図表4-1〕。何もしなければ同意と見なし、拒否の際に操作を求める「オプトアウト」方式は認められません。

〔図表4-1〕事前承諾の例

改正法施行により、旧来のやり方が違法になる可能性も

個人情報保護法は2005年4月1日に施行後、2017年5月30日にいわゆる「改正個人情報保護法」として改正・施行されました。これにより、旧法では保有する個人情報が5,000件以下の小規模な事業者は対象外だったのが、すべての事業者が対象になりました。個人事業主など、これまで対象外だった事業者も対応が求められます。

また、個人情報の条件など、マーケティング活動の根本にかかわる部分が変更されています。そのため、旧法の知識のままで運営していると、同じツールや施策が違法状態になってしまう可能性もあります。改正点をよく確認してください。

旧法では個人情報の定義に曖昧な部分があり、解釈が分かれていました。しかし、改正法では定義の明確化が図られ、次の表のように「個人情報」「個人識別符号」「要配慮個人情報」の3種類として定義されました〔図表4-2〕

〔図表4-2〕3種類の個人情報

個人情報の「グレーゾーン」がなくなった

「個人情報」は生存する個人に関する情報であり、生年月日やその他の記述などにより特定の個人を識別することができるもの、または、ほかの情報と容易に照合でき、個人を識別可能なものを指すとされています。

後者には、Webサイトの行動履歴やECサイトの購入履歴などの行動データも含まれることに注意してください。Webサイトのフォームに入力された情報から個人を特定して行動履歴を追跡している場合や、スマートフォンアプリでユーザーの位置情報を収集している場合も、個人情報の収集・利用に該当します。

「個人識別符号」は、改正法で新たに定義されたものです。大別して2種類あり、「個人の身体的特徴をデータ化したもの」はDNA情報や指紋、声紋などが該当します。「行政機関などが振り分けた情報」には、旅券番号や免許証番号、マイナンバーなどが含まれます。

一方で、金融機関の口座番号やクレジットカード番号は、特定の個人を識別できるとは限らないとして含まれません。民間企業のサービスで発行される会員IDの類も該当しません。医療・健康サービスや旅券番号を扱う旅行・交通サービスなどでは個人識別符号を扱いますが、それ以外の業種では、扱う機会は少ないでしょう。

「要配慮個人情報」も改正法で新たに定義されたものです。名前の通り、取り扱いに特別な配慮を要する個人情報のことで、顔写真や人種、宗教、所属組織、病歴、犯罪歴が該当します。これらは原則として本人の同意を得ずに取得することは認められません。

個人情報を共有する場合には注意を

収集した個人情報を、子会社やパートナー企業などのほかの事業者と共有する場合は、あらかじめ共有する事業者と方法を開示する必要があります。これは旧法でも同様です。

個人情報の共有の方法は「共同利用」「委託」「第三者提供」の3種類に分類されます〔図表4-3〕。「共同利用」は共催したセミナーで入手した名刺の情報を両社で利用するなど、共有する両者が個人情報管理の主体となります。

「委託」は名刺のデータ化を他社に依頼したり、Webサイトで広告を配信するため配信事業者にユーザーの行動データを提供したりと、管理する個人情報を、特定の業務のために他社に提供する場合を指します。「第三者提供」は、名簿を他社に売却するなど、提供先が自由に利用できる形で個人情報を提供する場合を指します。

このうち第三者提供を行う場合は、提供元・提供先の双方が詳細な情報を記録・保管する義務が、改正法で加えられました。過去に「名簿屋」と呼ばれる事業者による名簿の販売や、企業から流出したリストが売買されたことが問題になりましたが、このような際に売買の記録を追えるようにするのが、義務化の狙いです。

知らない間に違法状態になっていないかチェックしよう

ここまで改正法の重要なポイントを解説しましたが、個人情報保護法を理解して運営していても、意図しない違法状態が発生してしまう場合があり、注意が必要です。

よく起こるのが、海外製のツールでリードの情報を管理している企業で、意図しない情報を収集してしまうことです。日本の個人情報保護法に準拠していないツールでは、SNSから要配慮個人情報にあたる顔写真などを自動的に収集していることがあります。仕様をよく確認し、問題のある機能は解除してください。

〔図4-3〕個人情報を共有する方法の違い

まとめ

個人情報保護法の知識は、施策を立てる際や外部の人から質問を受けた際など、さまざまな場面で必要です。自身はもちろん、社内の全員が身に付けるようにしてください。